Loi 25 : les mesures obligatoires à mettre en place dans votre organisation d’ici le 22 septembre 2022

Loi 25 : les mesures obligatoires à mettre en place dans votre organisation d’ici le 22 septembre 2022

Septembre 2022 - Par : Me Halima Kerchi, avocate en droit des affaires et M. Gabriel Boivin, stagiaire en droit, Therrien Couture Joli-Cœur s.e.n.c.r.l.

Le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « la Loi ») a été sanctionné le 22 septembre 2021. En plus de moderniser, comme son nom l’indique, le cadre législatif de protection des données en regard des nouvelles avancées technologiques, cette loi vise aussi à permettre un meilleur contrôle par la population de leurs renseignements personnels. Comme le souligne Éric Caire, ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels et ministre délégué à la Transformation numérique gouvernementale, la loi « [rehausse] la protection accordée aux renseignements personnels des Québécoises et des Québécois, pour tenir compte des nouvelles technologies qui utilisent ces renseignements, dont les médias sociaux. »

Pour faciliter la mise en application de la loi, l’entrée en vigueur de certaines dispositions de cette loi a été décalée dans le temps. Ainsi, plusieurs articles modifiant la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRP ») et touchant ainsi les entreprises du secteur privé entreront en vigueur le 22 septembre prochain. D’autres dispositions, quant à elles, entreront en vigueur au cours du mois de septembre 2023.

Voici donc un aperçu de ces modifications qui auront un impact au sein de votre organisation dès les prochaines semaines :

Obligations – septembre 2022

Avant toute chose, rappelons qu’au sens de la loi un renseignement personnel signifie « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier » (art.2 LPRP).

1) À compter du 22 septembre 2022, chaque entreprise aura l’obligation d’avoir un « responsable de la protection des renseignements personnels ». Cette fonction est octroyée par simple effet de la loi à la personne ayant la plus haute autorité au sein de l’entreprise. Cependant, ce rôle pourra être délégué à toute autre personne au sein de l’organisation (art.3.1 LPRP).

2) Dans tous les cas, il est du devoir de l’entreprise de publier sur son site Internet, le titre et les coordonnées du responsable de la protection des renseignements personnels. Cette personne devra être consultée dans certaines situations précises, notamment si une évaluation des facteurs relatifs à la vie privée est requise dans le cas par exemple du développement d’un système informatique ou de la prestation électronique de services lorsque des renseignements personnels sont en cause (art. 3.3 LPRP).

3) De plus, en cas d’incident de confidentialité, une entreprise aura l’obligation d’avertir rapidement la Commission d’accès à l’information du Québec (« la Commission ») et de prendre certaines mesures pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent (art. 3.5 LPRP). Selon la LPRP, un tel incident survient lorsqu’il y a un accès non autorisé à un renseignement personnel, lorsqu’un renseignement personnel est utilisé ou communiqué sans autorisation légale ou lorsqu’un renseignement personnel est perdu ou sa protection affectée.

4) De nouvelles règles sont aussi prévues concernant la communication des renseignements personnels sans le consentement de la personne concernée. Ainsi, lorsque la communication d’un renseignement personnel est nécessaire pour conclure une transaction commerciale, l’entreprise pourra, à certaines conditions, communiquer le renseignement personnel (art. 18.4 LPRP). Il en sera de même lorsque la communication sera à des fins d’étude, de recherche ou de production de statistiques (art. 21 LPRP).

5) Enfin, d’autres modifications de la LPRP méritent d’être soulignées, notamment l’obligation pour l’entreprise de transmettre toute information relative à l’application de la LPRP si la Commission en fait la demande ainsi que l’interdiction d’exercer des représailles – toute mesure disciplinaire pouvant être considéré comme tel dans ce contexte - contre une personne ayant déposé une plainte à la Commission ou collaborer à une de ses enquêtes (art. 81.1 à 81.4 LPRP).

Obligations – septembre 2023

Dans environ un an, entreront en vigueur plusieurs autres règles que les entreprises devront prendre en compte dans leurs activités quotidiennes afin de demeurer conformes à la LPRP. Parmi les plus importantes, notons :
- L’obligation d’établir et de mettre en œuvre des politiques et des pratiques afin d’encadrer la gouvernance à l’égard des renseignements personnels détenus et pour en assurer leur protection. Des informations détaillées au sujet de ces politiques devront se retrouver « en termes simples et clairs » sur le site Internet de l’entreprise (art. 3.2 LPRP);
- De nouvelles obligations de transparence, notamment celle de publier sur le site Internet de l’entreprise une politique de confidentialité, elle aussi rédigée « en termes simples et clairs » lorsque des renseignements personnels sont recueillis par un moyen technologique; celle d’informer la personne concernée lorsque des renseignements sont recueillis en ayant recours à une technologie d’identification, de localisation ou de profilage; et celle d’informée la personne concernée lorsqu’une décision fondée exclusivement sur un traitement automatisé des renseignements;
- L’obligation de détruire ou d’anonymiser (à des fins sérieuses et légitimes) un renseignement personnel lorsque les fins pour lesquelles il a été recueilli sont atteintes et dans le cas de l’anonymisation, certaines obligations précises concernant le processus (art. 23 LPRP);
- De nouvelles règles autour de la notion de consentement, entre autres la demande qui doit être présentée à la personne concernée « distinctement de toute autre information communiquée » (art.14 LPRP);
- De nouvelles règles à suivre et d’éléments à prendre considération lorsqu’une entreprise désire communiquer un renseignement personnel à l’extérieur du Québec (art. 17 LPRP);
- L’obligation d’obtenir le consentement du titulaire de l’autorité parentale ou du tuteur pour les demandes de renseignements personnels concernant un mineur âgé de moins de 14 ans (art.4.1 LPRP);
- L’obligation d’établir des paramètres de confidentialité de haut niveau si, en recueillant des renseignements personnels, l’entreprise offre au public un produit ou un service technologique (art. 9.1 LPRP);
- L’obligation de cesser la diffusion ou de désindexer tout hyperlien d’un renseignement personnel si cette diffusion contrevient à la loi ou à une ordonnance judiciaire ou sous certaines autres conditions (art. 28.1 LPRP);

Sanctions

À partir de septembre 2023, quiconque contreviendra aux dispositions de la LPRP ou d’une loi particulière concernant les renseignements personnels s’exposera à deux types de sanctions : des sanctions administratives pécuniaires ou des sanctions pénales.

- Sanctions administratives pécuniaires

Un tel type de sanction est de droit nouveau. Ces nouvelles sanctions peuvent être imposées par une personne désignée par la Commission. Parmi les motifs pouvant donner lieu à l’imposition d’une sanction administrative, notons la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels en contravention à la loi; l’omission de prendre des mesures de sécurité propres à assurer la protection des renseignements personnels ou encore l’omission d’informer des personnes concernées lorsque des dispositions de la loi le requièrent. À noter que toute personne qui, après avoir été visée par un manquement, s’engage auprès de la Commission pour remédier au manquement ou en atténuer les conséquences peut ainsi éviter de faire l’objet d’une sanction administrative pécuniaire. Sinon, le montant maximal prévu pour une sanction administrative pécuniaire sera de 50 000 $ dans le cas d’une personne physique et, dans les autres cas, de 10 000 000 $ ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé.

- Sanctions pénales

Une telle sanction découlera d’une action intentée conformément au Code de procédure pénal, par la Commission en raison d’une infraction prévue à une section particulière de la LPRP. Il pourra s’agir par exemple de recueillir, utiliser, communiquer, conserver ou détruire des renseignements personnels en contravention à la loi, de ne pas prendre les mesures de sécurité propres à assurer la protection des renseignements personnels ou encore d’omettre de déclarer un incident de confidentialité (art.91 LPRP). Les amendes prévues pour te telles infractions se chiffreront entre 5 000 $ à 100 000 $ dans le cas d’une personne physique et, dans les autres cas, de 15 000 $ à 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé. En cas de récidive les amendes seront portées au double (art. 92.1 LPRP)

Outre ces modifications, de nouveaux termes sont aussi incorporés à la législation québécoise en matière de technologique et de protection des données. Notons à cet effet le droit à la portabilité des données, les renseignements personnels sensibles, le droit à l’oubli (ou à la désindexation) et certains droits liés à l’utilisation des technologies. Pour plus d’information concernant ces expressions et sur les grands principes de la Loi, nous vous référons à l’article « Le projet de loi 64 – Québec veut reconnaitre de nouveaux droits aux particuliers et responsabiliser les entreprises » du mois de juillet 2021.

N'hésitez pas à contacter l’équipe de droit des affaires chez Therrien Couture Joli-Coeur pour en connaître davantage sur les modifications législatives ou pour tout besoin en la matière au sein de votre entreprise.

Sources :
• Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, chapitre 25
• Commission d’accès à l’information - Espace évolutif – Modernisation des lois
• « Le projet de loi 64 – Québec veut reconnaitre de nouveaux droits aux particuliers et responsabiliser les entreprises », ARS Solutions, juillet 2021
• Communiqué de presse – « Projet de loi no 64 - La Loi modernisant le cadre législatif du Québec en matière de protection des renseignements personnels est adoptée », Cabinet du ministre délégué à la Transformation numérique gouvernementale, septembre 2021


Leave a comment!

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Ce à quoi vous consentez en vous inscrivant.

En vous inscrivant sur notre site Web, vous nous autorisez à communiquer avec vous par courrier électronique, téléphone, courrier postal ou tout autre moyen de communication disponible. Soyez sans inquiétude, nous ne vendrons jamais vos informations ni n'envahirons votre boîte de courriels. À tout moment, vous pouvez vous désinscrire de nos communications.